时间:2022-03-08 08:07:42
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇信息安全工作要点范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
二、制度检查。自查工作小组根据《关于开展重要信息系统及重点网站安全检查工作的通知》,对前郭队的网络安全工作的基本情况以及网站的安全保护情况的相关制度进行了检查,现有制度有:网络与信息安全管理制度、内网计算机与互联网连接制度、终端计算机安全管理制度、桌面安全管理系统制度及其他网络安全管理手段及措施制度。及时发现了问题,要求建立健全信息安全年度预算制度、信息安全发展规划。
为什么安全工作年年做,问题年年有,还总有些问题年年存在却总也解决不了,应该如何去推动安全工作真正落实下去,而不是把问题和风险悬在那里?
据此,华为在客户处开展调研和咨询工作,并归纳四大典型安全风险:即IT系统自身安全性不强;安全加固无法根除所有隐患;安全工作开展存在明显短板;安全支撑手段不够,安全要求难以落地。
如何去解决这些疑难杂症,华为提出安全三同步的工作思路,希望从机制上用系统的方法推动网络与信息安全问题的解决,统筹规划从前端到运维末端各阶段各部门安全工作。
遵循同步规划、同步建设、同步运行的指导思想
关键业务相关系统的稳定和安全运行是安全工作的核心,应当着重从系统全生命周期、全流程角度来同步考虑安全工作,使安全建设需要符合业务发展需要。
安全三同步以“同步规划、同步建设、同步运行”为指导思想,本着“谁主管、谁负责”工作原则落实执行,在系统生命周期各阶段明确责任部门及安全职责,在全过程中推行安全同步开展,强化安全工作前移,降低运维阶段的服务压力。在过程中建立和推行一套工作机制,包括从规划到验收阶段统一的管理制度、技术规范、运作、实施细则和工作流程,并在过程中梳理支撑手段。统筹规划从前端到运维末端各阶段各部门安全工作的一体化开展,最终推动系统生命周期安全目标的落实。
三大架构共铸安全三同步工作模型
笔者通过工作架构、组织架构、体系架构三方面来具体介绍安全三同步工作模型。
所谓安全三同步是指围绕系统的规划、建设和运行三过程同步开展和落实各阶段安全要求。这个过程又可细化为5个可操作阶段,分别是规划设计、立项采购、开发实施、上线验收以及运行维护。对应到三同步中,即安全规划是对规划设计阶段的安全管理,安全建设是对立项采购、开发实施、上线验收的安全管理,安全运行是对运行维护的安全管理。安全贯彻整个系统生命周期,保证了系统由最初的需求到最终的安全运维整个过程的安全。通过做好各阶段的安全管理工作,促进系统自身安全性和防护能力提升,推动安全工作中的短板。
安全三同步组织结构则按角色定义,由安全统筹部门以及规划、采购、建设、维护这四个阶段主管部门组成,使得安全工作有一个归口部门进行统一管理,从而使管理工作系统化、统一化。真正做到谁主管谁负责。
安全三同步文件体系架构分为4层,这与目前主流的安全体系诸如ISO27001、ISO20000等体系结构一致。一级文件是管理办法,指导性文件;二级文件是管理细则文档,明确提出各阶段安全工作要点以及各阶段安全主管部门的职责;三级文件是操作指引文档,详细的描述完成安全管理工作的步骤以及关键环节工作要点、工作输入输出等,规范并指导工作开展;四级文件为安全三同步工作各相关记录文件以及各类配置规范和标准。
工作流转过程:标准统一、环环相扣、责任明确
图3是安全三同步的工作流转过程示意图,从总体上说明了系统各个阶段的安全工作。在规划设计时识别安全需求,明确安全目标;在立项采购确保安全要求以具备法律效应的书面形式被明确;在开发实施时落实前期已明确的安全要求;在上线验收时确保系统满足系统安全验收评判要求,而在运维阶段确保业务连续性,杜绝信息安全事件,做到安全可控、安全运维。
系统安全工作整个过程是在一个统一标准下进行的,各个环节环环相扣紧密结合,以《系统入网安全设计标准》为参照,进行安全需求分析,确立最终的安全设计要求。在立项采购时,会以安全设计要求为依据,进行招标采购工作。在系统开发阶段会以安全设计要求作为依据,开展系统的开发实施。系统实施完成后,依照系统入网验收安全标准对系统进行入网验收,而入网验收安全标准的制定又与系统入网安全设计标准是相互关联的。
在各阶段的工作落实上,我们定义了各阶段的必要环节以及规范相应环节的输入输出要求和责任部门。以规划阶段为例,规划设计的安全要求是识别安全需求,明确安全目标。为此我们定义了安全规划的必要环节即安全需求收集、安全规划设计、规划评审,规划部门作为明确的责任部门在设计时要求遵循安全设计规范要求并最终在技术规范书输出中包含安全功能定义,如图4所示。
一、2015年年度安全目标:
重大火灾事故为零,重大交通事故为零,重大资金安全事故为零,重大因工伤亡事故为零,重大设备事故为零,重大食物中毒事故为零,重大烟草物资被盗、霉变事故为零,重大网络与信息安全事故为零。
二、2013年年度工作要点:
(一)推进安全标准化工作,完善安全组织和管理体系,落实安全责任,强化安全管理,并保障有效实施。
1、进一步完善安全生产的目标责任制管理,层层签订安全目标责任书,落实到每个岗位、每个人。并实行“谁主管,谁负责;谁的岗位,谁负责;”的管理原则,层层落实,加强监督,严格考核。
2、实施全过程风险管理。完善风险评价组织,加强作业活动的危险因素辨识和风险评价,切实落实各项风险控制措施,对重大风险要制定风险削减计划并予以落实(过程改进),确保作业活动的风险在可承受范围内。组织职业健康安全管理体系的评审,实现管理承诺,保持体系持续合规、有效运行。
3、严格执行企业《重大危险源管理制度》,强化各项监控措施,确保重大危险源安全平稳运行。并深入继续开展消除危险源的工作。
4、严格执行企业《安全生产责任制》,落实安全责任,保证安全所必须的投入,做到组织措施、管理措施、技术措施的认真落实。
(二)加强全员安全技能、意识的培养和企业安全文化建设。
1、加强新进厂职工三级安全教育,使之掌握基本安全生产技能,合格上岗。
2、组织开展班组安全活动,抓好安全生产有关法律、法规学习和日常安全教育。以部门为单位组织职工学习《安全管理制度》和安全标准化相关规定,明确各自安全职责,增强安全意识,提高安全技能,提升管理水平。
3、组织开展“安全生产月”活动。通过“安全生产月”,不断提高企业全员安全意识和安全技能,查找隐患,加大整改力度,提高企业本质安全水平,促进企业经济发展。
4、开展安全竞赛活动。通过各种竞赛活动,进一步学习国家安全生产法律法规,增强做好安全工作的责任感和紧迫感。认真贯彻执行安全规章制度,杜绝各类违章作业和违章指挥,提高职工遵守劳动纪律、工艺纪律、安全纪律、环保纪律、提高操作技能的自觉性,总结和推广安全生产先进经验,确保企业长周期安全运行。
(三)、强化隐患排查治理,提高安全防范水平
1、强化车辆管理。定期组织驾驶员进行安全培训和教育;全面排查车辆管理中存在的问题和隐患,把查出的不安全隐患摆在桌面上,让大家去研究,去解决。坚持“提醒”制度。每月由安全委员会发送一条安全提示短信给驾驶员,提醒时刻注意安全,提高安全意识;
二、安全目标
1、不发生生产性重伤及以上的人身伤亡事故,控制三人及以上的生产性轻伤事故。
2、不发生责任性主设备损坏和电网事故,不发生二级及以上网络与信息安全事件,不发生万元以上的负同责及以上责任的交通事故,不发生生产性火灾事故。
3、不发生误操作和误调度及继电保护误碰、误接线、误整定、室内小动物、设备污闪等人员直接责任事故。
4、农业变电事故率低于0.1次/台·年。
5、农业送电事故率低于0.5次/百公里·年。
6、配电障碍率低于3.5次/百公里·年。
7、全局安全日3个100天,力争实现全年无事故。
三、工作要点
1、固化安全观念。治行,先治心。抓实安全生产,关键要固化正确的安全观念。
——安全发展,是对安全工作地位的科学把握。投入安全,就是投入发展;安全发展,方能稳固长效发展。安全与生产,安全与速度,安全与效益,安全与服务,殊途同归,并不矛盾,矛盾在于认识的偏差和不到位。要牢固确立抓安全就是抓发展,抓安全就是抓经济,抓安全就是抓效益,抓安全就是抓服务的观念,增强践行“安全第一,预防为主”安全工作方针的主动性和积极性,促进安全责任的全面全员到位和安全工作的全面全方位落实。
——人员发展,是搞好安全工作的一项十分急迫而重要的目标和任务。离开人员全面发展,就不可能有扎实有效的安全发展。人员发展,核心在提升素质,关键在心智改善。着眼安全生产,人员发展重在加快提升全员安全素质,重中之重是不断提升全员对安全第
一、安全发展的自觉认识,急中之急是加速提升能安全、会安全的技能,适应精细化、标准化、规范化安全管理高要求。惟其如此,预控才能到位,可控才有把握,能控才能实现。着眼安全,追求人员发展,要舍得投入抓安全教育,千方百计抓实安全教育,下定决心抓出教育成果。立足安全,追求人员发展,要突出学以致用,加大投入,强化对技能“短板”的加长培训,尤其是各专业技师的培养,力争关键专业都有技师人才。重点优化考核体系,创新用人机制,形成自发自动自觉学技术勤钻研的学习风气。
——和谐发展,是实行安全生产的有效手段。和谐促进平安,平安有助和谐。立足和谐促平安,着力营造全员皆言、全员可言、全员善言,言安全发展大计,言安全生产之不足,言安全生产之隐患的群策群力的良好氛围。立足和谐促平安,致力于创造良好的安全文化,以忠诚企业、关心自己、关护他人、关爱生命的朴素观,引导激励凝聚全员参与安全生产,全员关注安全生产,全员倾心安全生产,全员确保安全生产。
2、优化安全环境。任何事业的发展,离不开好的环境。搞好安全生产,实行长治久安,同样需要充足的投入、完善的机制、健全的组织作保证。
——良好的投入环境,是搞好安全生产的关键。一方面要做到人员优选,好钢用在刀刃上,确保安全、技术职能机构完善,安全网络健全,人员充足、力量充沛。另一方面要做到资金投入优先,保障安全隐患整改、两措计划实施、安全教育培训、安全激励、生产环境改善等资金投入。
——良好的制度环境,是搞好安全生产的前提。没有规矩,不成方圆。离开严格的制度约束,安全生产难有保障。不仅要注重制度建设,确保行有章,为有规,着力追求作业行为的规范化、标准化、流程化,更要强化制度执行观念,加大制度执行力建设,营造严格严厉的制度执行环境。结合实际,尤要重视优化、创新安全激励机制,从制度上、机制上培育我要安全、我会安全、我能安全的安全工作氛围。
——良好的组织环境,是搞好安全生产的基础。安全系统性质,决定安全生产离不开方方面面、条条块块、里里外外、全员全面全方位的齐心协力、同抓共创。百分之百落实行政各级安全责任,发挥行政各级安全生产积极性、创造性的同时,要突出发挥党工团的各自特色作用,更好地动员引导激励领导层、管理层、执行层谋安全抓安全。切实抓好党、团员身边无违章无事故责任区活动;围绕安全主题活跃QC、合理化建议等群众性活动,充分利用集体智慧,组织技术攻关,完善、解决安全生产薄弱环节或老大难问题;总结经验,早作计划,进一步抓实“安康杯”竞赛;加大职工代表对安全生产的监督力度,针对安全生产典型事件,褒优贬劣,广为宣传,广泛开展安全大讨论。深入开展爱心活动,实施平安工程,通过对员工人性关怀,情感尊重,激发负责、敬业的精神,服从、诚实的态度,增强安全生产“软”动力。
3、强化安全管理。首先,要健全三个体系,即风险评估体系、应急管理体系和事故调查体系。建立安全生产风险管理体系,深入推进安全生产风险评估工作,强化安全生产预防意识和基础管理,增强员工安全风险和危害辨识能力,形成安全生产预防管理机制。认真落实《国家电网公司应急工作管理规定》,健全安全生产应急管理体系,提高电网应对突发事件和抵御自然灾害能力。制订应急预案管理规定,规范应急组织体系建设,完善应急预案体系,健全各级应急机构,加强应急预案演练与评估,提高应急反应的速度和处理能力。认真贯彻落实《国家电网公司安全生产事故调查规程》,贯彻落实安全生产事故调查体系,严肃责任追究。加大事故监察整改力度,严肃事故调查处理、责任追究和“说清楚”制度。认真总结交流安全管理经验,深刻吸取事故教训,积极吸收先进的安全管理理念、方法和手段,提高安全生产监督与管理水平。其次,创新安全生产工作机制。不断强化安全考核,做到层层细化、量化。推行安全生产积分制度,实行积分奖励,形成干好干坏、干多干少不一样的你追我赶的激励制度。再是,改进安全工作方法。进一步完善安全目标管理,健全安全生产责任制,落实各项安全保证措施,强化安全生产过程控制。大力倡导严、细、实工作作风,始终把夯实安全生产基础放在安全生产突出位置,紧抓基层、基础、基本不放松。采取以点带面等科学的工作方法,成立专门的攻关小组,确保线路通道、电力设施外力破坏、雷害、违章作业等影响全局安全生产的难点问题得以根本性的解决。注重科技兴安,扎实推进生产MIS系统、可靠性管理系统、智能开票系统等的应用,加快先进设备、先进工艺、先进技术的采用。
[NextPage]
四、工作措施
1、立足源头,加强生产计划管理。生产计划管理的着眼点是生产有序、作业高效、行为安全。无序生产,导致意外与事故,有过不少血的教训。忙而不乱,忙而有序,是管生产必须管安全的题中应有之义。抓实生产计划管理,是实现安全生产可控、在控、预控的基础性工作。科学合理的计划来之于对全局工作、自身现状、问题因难的清晰把握,不善总结,不善分析,不作理论联系实际,不从实际出发,不注重计划的执行,计划必然流于形式,不仅无助安全,反而累及安全。严格生产计划管理,既要注重计划制订的科学性、合理性、严肃性,协调好年、季、月、周计划,按部就班,层层推进,一环扣一环,又要坚决反对追求计划执行率而少安排甚至不安排工作的消极做法。加强对计划编制质量、计划执行的考核,促进有限生产资源的合理利用,提高生产工作效率,确保生产工作质量,助推安全生产。
安措、反措作为生产计划的重要内容和生产计划的主要编制依据,各单位要结合各自实际,认真分解,科学安排,有序实施。
停电计划、检修计划作为生产计划的重要组成部分,其实施好坏,直接影响安全指标、经济指标。临时安排、计划外工作坚持严格管理、严肃考核,按程序报批,严禁擅自作为。
2、持续改进,强化变电运行检修管理。变电运行检修,所承担的安全风险大责任重。切实抓好变电运行检修管理,是安全运行的重中之重。随着电网发展,电压等级提高,新设备、新技术的不断采用,以及自动化程度越来越高,随之带来运行管理方式的变化,管理要求的提高。变电运行检修管理,既是我局生产工作亮点,又是安全压力最大所在。在指导思想上,要突出居安思危、自我加压、持续改进的要求,加速提升运行检修水平。在人员安排上,要立足发展,立足长远,只能加强,不能削弱,为XX电网不断状大,积育运行力量。在人员素质上,要有只争朝夕,全力改进的决心、信心和紧迫感,多形式学习,多途径培养,力争在技术层面、技师、高级工队伍培养上,变电运行检修这支队伍能够再出亮点,再创荣耀,再作贡献,成为全局学技术长技能的先进榜样,更好地适应110千伏电压等级运行要求。
在工作目标和任务要求上,要坚定决心、树立信心向运行检修管理标准化、规范化、精细化迈进,制度建设、设备巡视维护、危险点分析与预控、设备停复役操作、缺陷管理、预防性试验、标识标志管理、图实相符、设备检修管理等,都要立足三化要求,取得明显成效。针对继电保护、自动化专业在运行检修管理中的困难和不足,生技、调度、信息、运行部门要认真吸取2006年冷水变事故教训,健全两大专业工作规范、管理制度,加大力量投入,梳理存在的问题,明确面临的不足,总结取得的经验,吸收人家先进做法,改变两大专业在安全生产中的“短板”现状。加强变电所解锁钥匙和接地线管理,重视变电所内的所用电、直流系统、交流保安电源和不间断电源等系统设备的管理,防止因上述设备的故障或操作不当而导致事故。运行工区要成为学习型单位,无违章无事故集体,沟通协作服务优的典范。在工作作风上,要发扬光大运行队伍一贯的传统,以更加高涨的工作激情,更加饱满的精神状态,更加负责的责任感,更加团结的集体风貌投入工作,为赶超兄弟单位运行检修管理水平,为稳固全局安全生产而积极作为,开拓进取。
3、规范实效,进一步抓好日常安全管理。完善“两会”(安全生产分析会、安全员例会)、“两措”(安全技术劳动保护措施、反事故技术措施)、“两票”(工作票、操作票)、“两薄”(班组安全活动、班组安全管理)制度,着力实现日常安全管理工作规范化、精细化。完善安全监督和反违章管理规定,制订、规范安全监督标准,健全常规监督、专项监督、事故监察三者相结合的监督机制。继续抓好春(秋)季安全大检查、重要活动和节假日安全检查。强化安全工器具管理规定、两票三制、班前班后会、应急预案管理规定、继电保护专业规范、电力建设工程分包管理规定等执行情况的专项监督。继续抓好全局安全活动,提高活动质量。
4、强硬强势,狠抓配网安全管理。配网安全管理,既是重点,更是难点。点多面广,人员复杂,设备落后,网架薄弱,给安全生产带来很大压力。配网安全管理主要目标,是坚决杜绝农配网高、低压触电、倒杆和高空坠落事故的发生。在措施上,一要加大投入,加快网架改造,杜绝装置违章,积极开展标准化线路、标准化开闭所的创建工作。二要高度重视配网安全管理的制度建设,做到运行分析、设备巡视、数据测量等流程化、统一化,以坚决的态度推广作业标业卡,使用好标准作业卡。三要改变培训方式,严格上岗证制度,强化岗位练兵、实战演习,积极开展技术比武,坚决淘汰安全意识差、安全技能弱、发展潜力小的人员从事生产一线工作和担当生产重要岗位工作。四要进一步完善配网目标管理,重视追求目标的过程管理,事前多谋,细化措施;事中严控,及时纠偏。要注重目标的层级管理,一级保一级,一级抓一级,一级对一级负责。要重视目标的阶段性考核,严字当头,严格考核,始终保持目标考核的压力。五要建立配网运行分析制度,交流运行管理经验,分析障碍事故原因,落实防范改进措施。
5、攻坚克难,推进电力设施保护工作。通过近几年开展专项整治,电力设施保护工作取得明显成效,但外力破坏现象仍有发生,电力通道清理依然困难,用户设备缺陷导致扩大停电事件还是不少。为此,要按照《国家电网公司电力设施保护工作规定》,利用各种新闻媒介,继续加大电力设施保护的宣传教育,不断增强群众对电力设施的保护意识。要进一步规范重要防护地段安全标识、警示标志的使用,加强易受外力伤害线路区段的管理,特殊区段特殊巡视,及时发现问题,及早得以处理。要坚持以属地管理与采取多种技术防范措施相结合,提高电力设施保护能力。依靠政府支持,强化电力设施及安全用电考核力度,强化行政监管,加大打击偷盗、破坏电力设施犯罪行为的力度,建立三线交跨部门例会制度,从源头上治理违章交叉跨越、危害设施安全。结合XX实际,重点治理农户砍伐树木、用户设备故障引起的扩大停电事件。
6、形式多样,深入开展反违章活动。违章是事故的薮源。反违章,是反事故的重要手段,是加强现场安全管理的一项长期任务。反违章人人有责。领导层、管理层、执行层要围绕各自职责,结合各自特点,积极开展安全稽查,倡导安全行为,治理违章作业。反违章,须用铁腕手段,手软不得,心慈不得,坚决反对老好人做法,对违章视而不见,姑息迁就。反违章,要坚持抓两头、带中间,既要突出重点领域,始终把生产班组作为反违章的重点对象,抓紧抓严抓实,又不能忽视领导层、管理层的违章指挥,这些层面的违章犹如蝴蝶效应,对安全“软实力”构成极大的破坏。反违章,要善于总结吸取先进经验和做法,进一步完善违章记分制度、说清楚制度、作业点评制度,深入开展无违章班组、无违章个人创建活动。反违章,同样需要转换角度、转变观念,坚持反的同时,着力安全习惯的培养,把《XX省电力公司现场作业安全生产要点》所要求的行为规范严格落到实处,尤其要突出新进职工、农电工安全习惯塑造,“水未来时先筑坝”,通过强化安全习惯德育,从一开始就形成正确的安全观,培养他们自觉遵守规章制度的习惯,为反违章打下良好的基础。
7、全面动员,积极开展第二轮安全性评价工作。安全性评价是实现企业安全生产自我约束、自我完善,规范管理、创新提高的有效载体。通过开展安全性评价工作,超前发现和消除企业生产过程中的危险因素,改善安全生产管理状况,降低职业安全健康风险,实现事故和危险因素的预控、可控和在控。坚持全面开展、全员动手,精心部署、专项考核,严格按照省公司安全性评价查评手册,进行评估评价整改。总之,通过开展安全性评价工作,使全员安全意识不断增强,规章制度更加完善,基础资料更为健全,电网结构更趋完善,设备状况更显健康,安全风险明显降低,安全管理水平明显提升。
8、提高认识,确保计算机网络与信息安全。随着计算机应用的扩大,自动化程度的提高,计算机网络与信息安全已成为安全生产的重要组成部分。要充分认识计算机网络与信息安全在安全生产中的重要地位,加快信息网络建设与改造,高度重视计算机网络与信息安全风险防范,组织开展计算机网络与信息安全风险评估,排查隐患,保证电网安全可靠运行。制定计算机网络与信息安全事件应急预案,完善突发事件信息报告机制。规范计算机网络与信息安全事件报告、调查和考核工作。
9、落实措施,加强交通、消防、治安保卫工作。注重车辆管理人员和驾驶人员行车安全教育、技能培训,尤其是车队临时用工人员职业道德、行业规范教育,着力构建一支稳定的、高素质的驾驶队伍。坚持车辆准证驾制度,严禁非准驾人开系统内车辆,规范租用社会车辆。探索用车管理模式,力求做到方便用车,规范用车,节约用车,效率用车。始终把交通安全放在突出位置,严格按照《XX电业局违章作业处罚及离岗培训管理办法》规定,对交通违章行为进行违章记分,确保车辆交通安全。
依托石油、冶金两大行业办学,积极构建产学研合作平台
重庆科技学院与重庆钢铁(集团)公司在科研与人才培养方面有50多年的合作历史,在长期合作中建立起了良好的互信关系,特别是重庆科技学院受托于重庆钢铁(集团)公司完成的翻引钢机械手、棒材强力穿水冷却系统、轴承座自动拆卸及翻转系统、钢厂设备管理系统等科研项目取得良好的社会经济效益。近年来,重庆科技学院与中石油和航空航天企业合作开发的新项目得到了社会的肯定。
与中石油共建“油气井控及安全技术研究与培训中心”
重庆科技学院是重庆市唯一一所拥有石油天然气工程学科的高校,原重庆石油高等专科学校自1951年建校以来,50多年的从事石油天然气工程学科专业建设实践,造就了一支学术水平高、专业结构合理的师资、科研人才队伍,特别是油气井井控技术、现代油气钻井技术等学科方向形成了优势和特色,承担并完成了国家自然科学基金项目、国家“863”项目、国家重点科技攻关项目、国家创新基金项目及省部级科研项目等20余项,获国家发明专利1项,省部级科技奖多项。其中:现代井控技术研究(欠平衡钻井动态模拟及设计软件开发、空气钻井配套技术研究),包括高压气井、水平井的井控工艺技术和井控装备研制,成果具国内先进水平,已在大庆、辽河、胜利、中原、四川、长庆、塔里木等油气田推广应用;石油HSE风险管理配套技术研究及评价,其研究成果(行业评价标准)已在培训实践中应用,受到石油企业的好评;另外,石油安全工程技术研究及评价、油气井钻井工艺技术研究等方面,都已形成自己的特色。
在与中石油公司长期科研与人才培养合作的基础上,中石油公司拟投资近千万元与重庆科技学院共同建设油气井控及安全技术研究与培训中心,为石油行业企业提供技术支撑和培养技术、安全管理人才。
与航空航天企业合作,共建“功能磁性材料研发中心”
目前,在我国专门从事针对航空、航天及军工用的磁性材料研发的单位不多,从事磁性材料研究方面的人才培养的高校也较少,且主要集中在北方的一流高校,而这些重点大学还主要从事磁路设计、磁性材料的理论研究方面的工作,西南地区还没有从事功能磁性材料研发与应用型人才培养的高等院校。
重庆科技学院长期从事冶金与材料工程学科的教学与科研工作,现有金属材料工程、无机非金属材料工程、冶金工程三个本科专业和冶金技术、新材料技术两个专科专业,其中新型功能材料为主要专业方向之一,也是学校的专业特色。在50余年的教学科研活动中。培育了一支稳定的高素质、高水平的教师和科研队伍,建设有材料研发科技创新团队两个,致力于新型功能磁性材料的研究与开发制造,研发的产品已成功运用于我国的航天和国防产品中。转贴于
学校与南京晨光集团、中国航天科工集团等我国航天工业重点研发企业合作共建功能磁性材料研发中心,中心已获得了ISO2000质量管理体系认证,已承担了多项国防科研项目。
积极探索官产学合作新型道路
与重庆市科委、重庆三峰公司联合成立“重庆垃圾焚烧发电技术研究院”
2005年8月重庆科技学院与重钢集团签订了产学研合作办学协议,同时重庆科技学院与重庆三峰环境公司合作开展了“垃圾发电厂高速离心雾化器的研究与开发”、“垃圾发电厂焚烧炉液压控制技术及系统的研究”等项目研究。基于对未来社会可持续发展、能源与环境二者地位和制约关系的思考,面向国家能源、环境领域战略需求,在重庆市科委等市政府相关职能部门的大力支持下,重庆科技学院、重庆三峰环境公司、重庆市科委三方决定联合组建重庆垃圾焚烧发电技术研究院,在一个更高的平台上展开更深层次的合作,实现互利双赢,促进经济和社会发展。重庆三峰环境产业有限公司成立于1998年8月,是具有百年历史的特大型钢铁联合体——重钢集团旗下专门从事环保产业的子公司,重庆同兴垃圾处理厂、福州红庙岭垃圾焚烧发电厂等大型项目即由重庆三峰环境公司牵头进行投资、建设并承包运营。
重庆垃圾焚烧发电技术研究院是重庆科技学院与企业、政府部门合作搭建的产学研合作平台,属官产学合作。研究院建设所需资金、仪器设备、场地由学校、政府和企业共同投入。投入形成的固定资产按各自拥有、共同使用、统一管理的原则执行,运行费用由项目经费解决。研究院实行首席专家负责制,按市级工程技术研究中心的要求建设和管理,主要研究人员由学校教师和向社会聘请部分优秀研究人员组成,所有人员由研究院统一管理。
重庆垃圾焚烧发电技术研究院这一官产学合作平台的搭建显示出它的蓬勃生机。由研究院研制的垃圾焚烧发电高速离心雾化器和垃圾焚烧炉液压控制系统在福州红庙岭垃圾焚烧发电厂得到推广应用,为重庆三峰环境产业公司节省直接投资上千万元;目前,新的研究开发任务正在有条不紊地组织实施,已申请专利67项;获得重庆市科委重大科研项目、“十一五”国家科技支撑计划重点项目、国家火炬计划项目等多项,科研经费达1000余万元;与美国COVANTA公司签订了技术合作开发与联合开展人才培训备忘录,第一批技术合作开发经费164万美元已到位;与哥伦比亚大学合作,成立了美国哥伦比亚大学地球工程中心中国分中心;与重钢集团公司合作,在研究院设立重钢集团博士后工作站的工作室。培养高级人才和开展科学研究。
重庆垃圾焚烧发电技术研究院响应国家号召走引进、消化、吸收、再创新之路,开发出具有独立自主知识产权的技术,将为重庆市乃至我国环保装备制造业的发展发挥巨大作用。
与重庆市安监局联合成立“重庆安全工程学院”、“重庆安全生产科学研究院”
重庆科技学院有深厚的石油、天然气和冶金行业背景,具备安全工程的学科基础条件,有专业教师60余人,教学科研仪器设备1000余万元,已经在石油工程、冶金工程、化学工程与工艺等本专科专业中开设了安全工程相关课程。学校非常重视安全培训、咨询、科研及技术服务工作,建有国家甲级资质的重庆渝油安全评价所、中国石油天然气集团公司“IADC重庆(长城)国际井控培训中心”、中国石油天然气集团公司“HSE重庆培训中心”等中介与培训机构。近年来,学校为各行业培养了井控、HSE和安全监督管理等中层、基层技术管理干部5000多人次,并开展了广泛的安全技术服务工作。
鉴于近年来安全生产形势严峻、安全教育机构缺乏、安全科技人员严重不足、安全生产技术及科研缺乏支撑的现状,为了解决安全生产深层次问题,根据《重庆市人民政府关于2006年安全生产工作要点的通知》要求和重庆市王鸿举市长提出的“依托相关高等学校,筹备成立重庆安全工程学院”的指示精神,重庆科技学院与重庆安全生产监督管理局联合成立了重庆安全工程学院。
重庆安全工程学院集学历教育、短期培训、职业教育、科研开发、中介服务为一体,全方位辐射安全生产技术支撑领域。为政府安全生产决策、事故抢险及调查、重大事故隐患整治、安全人才培养、重大安全科技研究、企业安全技术服务提供技术和人才支持。是重庆科技学院与政府部门合作搭建的又一产学研合作平台。安全工程学院由学校提供办学场地、图书情报资料,市安监局提供政府专项资金和政策保障,双方共同提供师资,投入设备。安全工程学院实行理事会领导下的院长负责制管理模式,理事长和学院院长由双方派出,双方共建共管。目前,重庆安全工程学院已招收全日制专科学生240余人,全日制本科学生200余人,对全市安全生产人员的培训工作正在进行,安全中介服务及科研工作不断取得新的成果。
目前,重庆科技学院在重庆市安监局的指导下,整合全市安全研究与评价机构,并得到国家安监局的支持,组建了重庆安全生产科学技术研究院,同时也是国家安全生产科学研究院重庆分院;同时,根据“渝府[2008]3号文件”精神,积极参与构建“重庆市安全生产科技支撑体系”的工作。
重庆安全工程学院、重庆安全生产科学技术研究院随着不断的改革和发展,投入的不断到位,将会越来越发挥出为政府安全生产决策、事故抢险及调查、重大事故隐患整治、安全人才培养、重大安全科技研究、企业安全技术服务提供技术和人才支持的巨大作用。
[分类号]G350
随着知识经济时代的到来,情报活动作为企业收集、分析有关经营环境、竞争者和本身的相关、准确、及时、前瞻性的情报以强化竞争优势的手段被频繁使用,导致企业竞争情报安全风险日益凸显。数据显示,各类经济情报活动每年给美国造成的损失达几千亿美元,使德国损失近5万个工作岗位。我国也有类似的惨痛教训,景泰蓝、宣纸、“金星”钢笔抛光技术等国宝级机密皆因保护不力而外泄。事实上,在当今激烈竞争的市场环境中,缺乏对竞争情报重要性的认识或保护不力的企业迟早会被淘汰出局。因此,如何有效地抵御对手的竞争情报活动,防止竞争性情报被对手获取,日渐成为企业和学术界关注的焦点。由于企业是一个开放式系统,竞争情报保护又涉及众多主体、客体(情报源、传播渠道与设施等)、环节和复杂内外部环境,因而其安全问题绝非仅是技术性或方法论问题,而是一项系统性工程,必须从策略、过程、实施控制、技术、资源和环境以及应急与处理机制等诸多方面进行规范和保护,以保障其保密性(eonfidentiality)、完整性(integrity)和可用性(availability),即构建竞争情报安全管理体系。
1 国内外研究现状
竞争情报简称cI(competitive intelligence),是关于竞争环境、竞争对手和竞争策略的信息和研究,是给组织竞争地位带来重大影响的外部威胁、机会或优势的情报及这些情报的获取、监控、分析、前瞻和预警过程。它是一种过程,包括对竞争信息的收集和分析;也是一种产品,包括由此形成的情报和谋略。本文所指竞争情报仅是狭义的竞争情报,指代企业内部的关键性情报,包括竞争对手、客户及合作伙伴情报、市场情报和技术情报等。
关于竞争情报安全,国内外许多学者已有一些研究。JerryP,Miller提出情报保护需历经定义保护需求、评估竞争对手、评估自身弱点、制定实施对策、分析监控、结果传递等6个步骤;John A,Nolan提出Phoenix商业情报保护模型,认为竞争情报活动是一个由任务、定义保护需求、评估弱点、制定对策、分析和6个环节构成的循环过程;美国军方受越战战例启发提出OPSEC模型,认为要对公开信息进行严格核查,以防零散公开信息被对手甄别、聚类分析并得到关键情报;有些文献介绍了反情报技术,如DNSBL等。国内对竞争情报安全也有一些研究,文献[7]对Phoe-nix模型进行了修正,提出工作步骤应包括保护技术、保护策略;文献[8]、[9]分别从知识流视角和基于博弈论构建了情报保护的动态监控与博弈模型;文献[10]利用人一机系统理论提出安全规避措施;有些文献则分别从制度、技术、法律、企业文化等视角进行了分析或策略构建。还有一些学者研究了竞争情报的泄密途径,文献[11]指出计算机的泄密渠道包括电磁波辐射、计算机网络、计算机存储、工作人员被策反和计算机系统被监控等。文献[12]分析了企业内部的情报泄密途径,包括企业网站、内部员工与第三方、搜索引擎、病毒和黑客攻击等;有些文献认为还有公开出版物、离职员工、业务伙伴、商业间谍、反求工程及其他灰色或非法途径等渠道。
从文献研究看,目前的竞争情报安全管理主要集中在泄密渠道、工作模式、安全技术、策略机制等领域,对竞争情报安全问题或阐述得比较笼统,或分析得不够深入,或角度单一,对企业如何建立竞争情报安全管理体系,实现竞争情报全面安全管理的理解不深、指导性不强。本文将以作为企业信息安全国际标准的ISO/IEC27002:2005协议为参照,以实现竞争情报的全面管理为目标,构建并系统地阐述企业竞争情报安全管理体系及其内涵。
2 竞争情报安全管理体系的构建基础
IS0/IEC27002:2005源自于1993年英国贸工部编写的信息安全管理文本“信息安全管理实用规则”,此后该文本于1995年被转化为国家标准(BS7799-1),2000年被ISO/IEC组织采纳为国际标准,2005年推出修订版本ISO/IECl7799:2005,2007年被更名为ISO/IEC27002:2005(内容不变),并与由BS7799-2标准演化而成的ISO/IEC27001:2005交相辉映,与随后形成的后续标准一起自成体系形成IS027000系列标准。
1SO/IEC27002:2005是一种信息安全管理体系规范,列举了在运营过程中对企业信息安全可能产生影响的因素,共设置了11大主题,39个控制目标和133个安全控制措施,包含安全政策、安全组织、资产分类与管理、个人安全、实体和环境安全、通信和运行管理、存取控制、信息系统的开发和维护、持续运营管理、符合法律等,旨在为一个机构提供用来制定安全标准、实施有效的安全管理时的通用要素,并得以使跨机构的交易各方互相信任。由于其规则实用性已成为信息安全领域最有影响力的信息安全标准,被广泛看作是优秀的、具有普遍意义的安全操作规则,因此成为我国信息安全标准GB/T20269-2006和《数字图书馆安全管理指南》等标准的主要参照蓝本。
由于竞争情报安全问题是一个涉及广泛且复杂的系统性问题,而ISO/IEC27002:2005是一个具有安全系统架构和实施办法的指南文本,其纲要体系及控制措施易于操作,且由于其架构的开放性和可增删性,各类企业可根据自身实际选择合适规模、层级的管理准则组合,形成了一个竞争情报安全“管理树”。同时,IS0/1EC27002:2005更重要的是传达一种系统性的、全局性的安全观念及一种泛安全管理的思维,因而它作为一个通用的信息安全管理实践准则,对企业竞争情报安全管理具有很好的参考作用。
3 基于ISO/IEC27002:2005标准的竞争情报安全管理体系的构建
传统的竞争情报安全管理一般包含两层意思:一是对内部关键情报进行监测和保护的活动;二是妨碍或阻止竞争对手的竞争情报行为。虽认知角度、重点不同,但基本共识是认为竞争情报安全管理的对象是企业内部情报;内容是监测和保护;目的是组织竞争对手或第三方的情报活动;态度是积极的;手段是合法的、正当的。但这些认知尚不足全面阐释竞争情报安全管理的内涵,且竞争情报安全管理有许多重要内容,因而本文提出的竞争情报安全管理是一种泛安全管理的理念。
3.1 竞争情报泛安全管理
在阅读文献与深入调研分析的基础上,本文认为竞争情报安全除包括实现内部情报的管理与保护外,还应包括对竞争对手实施的主动性反击策略,以及发生竞争情报泄密危机的管控与处置问题,这即是泛安全管理的概念范畴。
因此,竞争情报安全管理应包括5个向度:竞争情报安全策略与组织架构、竞争情报保护、主动性反竞争情报、安全管理保障和持续性管理。策略构架主要体现在企业的竞争情报安全管理战略、组织机构、安全策略文档等宏观层次构造与实践上;情报保护是竞争情报安全管理的主要任务,涉及竞争情报的分类管理、流动监控与保护;主动性反击能利用各种主动性策略手段分散竞争对手的注意力,迷惑对手或延缓其进攻与渗透;安全管理保障是各种制度与策略的审计、激励与保障机制;持续性管理是在受到攻击或情报泄密后的关键业务保护和业务修复能力,是发生灾难或危机的修复与重生机制。这几个向度相辅相成,共同构成竞争情报泛安全管理的内涵,如图1所示:
3.2 竞争情报安全管理体系的框架
基于泛安全管理的思维,参照ISO/IEC27002:2005标准,以竞争情报泛安全管理架构模型为主干,本文构造了竞争情报安全管理体系的框架ISO-CISMS(corn-pehtlve intelligence security management system based onISO/1EC27002:2005),该体系包含5个向度,10个管理大项,22个控制目标,56个关键控制点。向度和管理大项指出了竞争情报安全管理的工作内容框架和架构,控制目标分析了安全管理需实现的目标,关键控制点则给出了安全管理工作的实践要点。这种“分层设计”既兼顾了安全管理理论和实践方向与范围,也提供了操作性强的工作要点,可为当前竞争情报安全管理提供统一框架及解决方案,也回答了John J,McGonagJe在《让企业免于对手竞争情报行为的攻击》中提出的“要做什么,怎样做和在哪里做”的问题,如图2所示:
3.2.1 策略方针与组织构架策略方针与组织构架是指竞争情报安全管理的宏观层次构造与实践,包括竞争情报安全管理战略、组织机构、安全策略文档等,主要明确工作的原则、方针和相关策略,明确体系建设的意义、目标及建立体系需遵守的原则,以及如何建立极具管控力和渗透性的安全管理组织与人员架构。具体内容见表1。该向度的主要载体是竞争情报保护工作策略文档,该文档包含工作的重要性、工作的原理和目的、安全策略的原则性要求、违反安全策略后的责任级别及相应的处理办法等内容。
竞争情报安全管理作为一项系统性工程,是管理层的共同运营责任。为保障效率,应设置竞争情报安全管理机构,对已有信息或情报部门进行合并。组织架构可根据情况采取集中式和分布式相结合的方式。集中式权力集中,操作简单;分布式分散监控,覆盖而广。专职部门负责情报人员的专业技能培训及企业竞争情报保护策略、文化建设和监管协调等。兼职人员分布在各部门,负责自己部门的情报监控与保护。机构成立后,可以确保从管理上支持此项工作,以便更好地监测情报安全事项变动,维护竞争情报安全。在该管理项中,重要的关键控制点是安全管理人员在各部门的覆盖率,直接关系到竞争情报安全监控工作。
3.2.2 竞争情报保护
竞争情报保护是指对各种信息、情报或文件中的关键性情报的保护,组织结构对工作原则、方针和策略的执行情况。由于竞争情报的核心地位,竞争情报保护一直是竞争情报安全工作的重心。其活动过程是基于竞争对手的竞争情报搜集过程的,由于竞争情报的泄密渠道包括企业内部、公开倩息、第三方、内部数据库或信息系统等道德或不道德途径,因而竞争情报保护必须强化对各种泄密风险点的控制力,保证策略的完备性和执行力度及粒度,阻止现实的或潜在的竞争对手对本企业的竞争情报活动。
在竞争情报安全保护体系中,竞争情报保护向包括情报分类与控制、人员安全管理、物理环境及通信设施安全防护以及保障性制度等具体内容,如表2所示:
情报分类与控制:对公司数据库和核心文件、公司制度、安全策略、公开信息等情报资源编制情报清单,并根据相对价值、重要程度进行分类编码,确定安全等级,当然该清单应是动态更新的。对情报实施管理和控制,建立规范的情报管理制度,保障情报的合理、安全流通,严格情报传播控制、文件管理、与公开信息审核及信息垃圾处理制度,去除其中的关键信息或情报,加大对手的分析难度。
人员安全管理:在竞争情报视角,相关人员包括作为战略资源而成为保护对象的人员;作为管理对象的人员,如竞争情报保护人员、业务人员、第三方人员、显性或隐性及潜在竞争对手。对不同类型的人员应实施不同安全策略:①重定义工作内容,把安全责任定义到工作责任中;②对人员进行安全教育和培训,明确安全策略内容及其更新;③确立人员交往规范,根据合作伙伴、第三方或竞争对手的不同进行价值或重要程度权衡,建立不同交往策略规范。
物理和环境的安全:加强物理位置和环境的安全保护是竞争情报保护工作的显性措施。划分安全区域,根据关键性的业务或情报重要性和风险性设置相应安全区域,用物理屏障实现授权访问和保护,对安全区域实施监控;信息载体安全,妥善养护与管理各类信息载体设备,做好设备的进入与带出,也要做好登记与稽核。
网络与通信管理:由于企业应用越来越基于网络实现,竞争情报保护也应重视网络与通信领域的管理,当然这也是目前研究较多并相对成熟的领域,可用技术较多,如数据加密、数字签名、访问认证、安全防护、检测与追踪等,市场上也均有成熟的产品可供选择。
3.2.3 主动性反竞争情报竞争情报保护如果是被动的,往往使自身在竞争对手的攻击中处于被动位置而效果不佳,因而针对竞争对手进行监测并实施主动性手段是必要的,以在攻防时占定先机,本文认为这即是反竞争情报的狭义概念。具体内容如表3所示:
国内外对于反竞争情报的研究还处于起步阶段,从Web of Science数据库和国内的CNKI检索发现,有效文献一共不到200篇。其概念论述也不统一,邵波认为反竞争情报是模仿竞争对手监测和分析自身活动的过程,它是针对竞争情报活动而开展的阻止或妨碍竞争对手获得自身情报的信息研究活动,是一种对自身核心信息的保护方法。秦铁辉、罗超认为它是企业为了保护自身情报资源而开展的一系列防范性情报工作,以抵御竞争对于针对本企业的情报活动。杨之霞认为企业反竞争情报是为了控制或延缓企业核心情报向外界传递而开展竞争情报活动的动态博弈,主要采用掩蔽和迷惑的手段,最大限度地掐断竞争对获取本企业情报的主要知识源和知识流,保护企业关键信息不被竞争对手获得。其他学者也有一些定义,尽管角度不同、描述不一,但本质都是保护企业情
报免受其他组织的竞争情报活动的组织过程。但在策略手段上,侧重于防御性手段论述,虽然也提及一些主动性策略或措施,但均没有将其作为反竞争情报的核心与显要特征。实际上,以防御性手段保护竞争情报安全应属于竞争情报保护概念范畴,而反竞争情报则主要指采用积极主动策略达到防卫或反击目的的战略战术情报行为。
实施反竞争情报可通过识别竞争对手,模拟主要竞争对手的竞争情报行为,阻断竞争情报活动点和活动渠道,消灭风险点;虚假消息,干扰对手判断,诱导驱使其作出己方期望的决策。这种“假情报”可故意向对手传播、散发,涉及企业战略、技术方向、财务状况等方面的虚假或不准确信息,以迷惑竞争对手,或将其引入错误判断或发生决策失误。有时还可实施反逆向工程阻止竞争情报人员通过对产品解剖来分析化验其材料组成、设计构造、生产工艺等方面的机密信息,甚至因此而付出巨大代价,如日本东芝在其生产的电池内部进行了特殊处理,一旦电池被拆开,便会发生爆炸,使对手的反求工程变得艰难。
3.2.4 持续性管理持续性管理即是建立情报泄密风险清单,评估其发生概率与可能造成的威胁,并在不利事件发生时采取相应的机制及策略,以防止关键业务受到影响,实现企业持续运行。持续性管理需要引起重视的原因是随着竞争情报活动的日益频繁,企业面临的情报泄密风险无处不在,甚至很难完全避免,企业必须在发生关键情报的泄密后进行恰当的应急处置,以防止企业由此而出现重大损失,同时确保关键与核心业务不受影响。
在竞争情报安全管理体系中,持续性管理是一项必不可少的重要内容,从国际上看,那些及时引进持续性管理的企业,在面对灾难时均能化险为夷,诸多发达国家甚至将其列为上市的必要条件。持续性管理的核心内容是业务持续性计划的编制与维护,该计划包含业务流程、数据和技术基础设施确立、泄密风险识别及概率和威胁分析、泄密风险点分类与管理、业务持续性策略等内容。由于情势的不断变幻,业务持续性计划的维护与更新也是十分重要的。该管理大项包括3个控制目标,具体内容如表4所示:
3.2.5 安全管理保障在竞争情报保护体系中,信息保护、人员安全、物理与环境、网络与通信管理都必须建立相应机制加以保障。安全管理保障是“制度的制度”,贯穿竞争情报安全管理活动,为其保驾护航。在竞争情报安全管理体系中,安全保障机制主要包含制度与文化两个层次。制度层是硬性机制;文化层是软性机制,两者相辅相成,共同作用。具体内容如表5所示:
保障性制度。保障性制度是保障企业严格实施竞争情报安全策略的制度集,包含稽核制度、维护制度、激励制度和惩罚制度等。稽核制度可检查策略的完备性、适用性和执行情况,发现问题立即加以更新与维护,对出现执行问题的,能明确加以惩处或通过激励措施予以激励。在实际中,可仿照ISO 9000标准的内审员制度,由专人定期审计,并与竞争情报安全体系进行程序性对照。当出现任何事实性不符或事实改变时都要审核是否违反策略,分析其违反后是否会对情报安全造成影响,如此才能保证该体系完全实施。
竞争情报安全文化。企业文化是企业在运营过程中形成的所有成员共同认同的,关于企业运营的战略目标、理念、思维方式、价值观和行为规范等要素的总和。研究表明,强文化对企业发展具有极大的正向作用,而强情报安全文化对竞争情报安全管理具有同样的作用。在该体系中,竞争情报安全文化包含竞争情报战略制定,是否形成重视竞争情报安全的企业理念,该理念有没有输入企业的经脉与血液,特别是管理者的意图及坚决态度,对竞争情报保护工作的支持程度;企业精神的强度,和睦、团结、协作的企业氛围,将不同类型、价值观和行为方式的人员凝聚,强化向心力及对企业的责任感,减少竞争对手的渗透。
